Primer lanzamiento | Proyecto de seguro Blockchain Análisis de ataque Nexus Mutual

Este artículo es una contribución de CertiK y está autorizado por Jinse Finance para su publicación.

A las 5:40 p. m. del 14 de diciembre, hora de Beijing, el monitoreo de CertiK Skynet descubrió una gran transacción de la cuenta del fundador de Nexus Mutual, Hugh Karp, que transfirió un total de 370 000 tokens NXM a una cuenta desconocida.

El equipo de verificación de seguridad de CertiK inició rápidamente una investigación y un análisis, y creyó que la transacción era un ataque de piratería a la cuenta de Hugh Karp.

Por cierto, lo calculé para todos

370.000 NXM=8,33 millones de dólares estadounidenses.

Evento superado

Todo el proceso de ataque es el siguiente:

La dirección de la cuenta del atacante es:

0x09923e35f19687a524bbca7d42b92b6748534f25

Parte del ataque para obtener tokens ya pasó la transacción

0xfe2910c24e7bab5c96015fb1090aa52b4c0f80c5b5c685e4da1b85c5f648558a

El acuerdo de interés fijo DeFi Pendle lanzará un proyecto sin permiso "Project Permissionless": el 2 de marzo, el acuerdo de interés fijo DeFi Pendle anunció que lanzará un proyecto sin permiso "Project Permissionless", que permite a cualquiera usar cualquier activo para crear un nuevo grupo y proporcionar estabilidad de liquidez sin preocuparse por las pérdidas temporales, al tiempo que permite a los operadores utilizar sus tokens base favoritos (ya sea Stablecoin o ETH, AVAX, etc.) para operar. [2022/3/2 13:32:31]

Opere en 1inch.exchange.

Dirección de transacción de ataque:

0x4ddcc21c6de13b3cf472c8d4cdafd80593e0fc286c67ea144a76dbeddb7f3629

Coinbase ha abierto la lista de espera para las recompensas de apuestas de Ethereum 2.0: según CoinDesk el 17 de febrero, Coinbase ha abierto la lista de espera para las recompensas de apuestas de Ethereum 2.0, y sus clientes ahora pueden registrarse para apostar su ETH. Coinbase dijo el martes que sus clientes pueden obtener hasta un 7,5 por ciento de rendimiento anual sobre las tenencias de Ethereum ETH, con recompensas que incluyen una comisión del 25 por ciento. Los usuarios de Coinbase pueden intercambiar todos los ETH garantizados "en los próximos meses". Con Eth2, Coinbase ahora es compatible con el servicio de recompensas de participación de Tezos, Cosmos y Algorand. Además, un portavoz de Coinbase declaró que el servicio de staking de Eth2 estará completamente habilitado pronto. [2021/2/17 17:22:55]

Figura 1: Captura de pantalla de los detalles de la transacción del ataque

Según los detalles de la divulgación oficial, después de obtener el control remoto de la computadora personal de Hugh Karp, el atacante modificó el complemento Metamask utilizado en la computadora y lo engañó para que firmara la transacción en la Figura 1; esta transacción finalmente transfirió una gran cantidad de tokens a el atacante en la cuenta del destinatario.

Con base en la información existente, el equipo de CertiK especuló que cuando Hugh usaba Metamask a diario, el complemento modificado por el atacante generaba una solicitud de transferencia de esta gran cantidad de tokens, y luego Hugh firmaba la transacción con su billetera de hardware.

Como aplicación, la composición frontal de los complementos del navegador y los sitios web comunes es similar, y todos están construidos con HTML y JavsScript. El código para el complemento del navegador se almacenará en la computadora del usuario.

Con respecto a cómo los piratas informáticos modificaron el complemento Metamask, el equipo de CertiK hizo las siguientes conjeturas:

1. Después de obtener el control de la computadora personal de Hugh Karp, el pirata informático abrió el navegador a través del escritorio remoto e instaló directamente el complemento Metamask modificado.

2. El pirata informático encontró la ruta de instalación del complemento Metamask en la computadora personal de Hugh Karp, modificó el código y cargó el complemento modificado en el navegador después de completar la modificación.

3. Los piratas informáticos utilizan las herramientas de línea de comandos integradas del navegador para modificar los complementos instalados en el navegador.

Los detalles oficiales mencionaron que Hugh Karp usó una billetera de hardware, pero no especificaron qué billetera de hardware era.

Debería ser uno de Trezor o Ledger, porque Metamask solo es compatible con las dos carteras de hardware anteriores.

En el caso de una billetera de hardware, las transacciones en Metamask deben confirmarse en la billetera de hardware y firmarse con una clave privada almacenada en la billetera de hardware.

Actualmente, cuando las dos billeteras de hardware anteriores confirman la transacción en el hardware, la dirección de aceptación de la transferencia se mostrará en la pantalla del hardware para la confirmación final del usuario.

En este ataque, el pirata informático no debería poder modificar la dirección que se muestra en la interfaz de confirmación de la transacción en la pantalla del hardware. Por lo tanto, se especula que Hugh Karp no se dio cuenta de que el objeto de la transacción era la dirección del pirata informático cuando realizó la transacción. confirmación final en la billetera de hardware.

Figura 2: Visualización de la pantalla cuando Ledger confirma la transacción

Fuente: https://www.youtube.com/watch?v=9_rHPBQdQCw

La cuenta del fundador de la plataforma de seguros blockchain fue atacada, lo que demuestra la importancia de los seguros.

El brote de alta densidad de incidentes de piratería es una advertencia.

En el mundo de la red de la cadena de bloques, no importa quién sea o qué función tenga, los piratas informáticos no lo ignorarán solo por su suerte, y las pérdidas causadas por accidentes de seguridad pueden ocurrirle a todos.

E incluso si usa una billetera de hardware, es imposible que una persona esté 100% libre de cometer errores de por vida.

Basado en este ataque, el equipo de verificación de seguridad de CertiK presenta las siguientes recomendaciones de seguridad:

1. Cualquier sistema de seguridad y entorno operativo requiere no solo la verificación de seguridad del programa, sino también pruebas de penetración profesionales para verificar la seguridad general del producto.

2. Para garantizar que los activos digitales no sufran pérdidas por razones no técnicas, la parte del proyecto debe comprar un seguro para los productos del proyecto de manera oportuna, aumentar el plan de seguridad de la parte del proyecto y los inversores, y asegurarse de que las pérdidas causadas por los ataques pueden ser compensadas de manera oportuna.

Tags：

Precio de Etéreo